RootKit

More documents

Recommendations

Info

원하는 데이터를 원하는 Process 안에 넣어 코드를 실행하는 것이다. 위의 방 법과 마찬가지로 원하는 Process의 핸들을 얻고 Process에 공간을 할당하고 INJDATA라는 원하는 데이터가 들어있는 구조체를 만들어 Process안에 WriteProcessMemory를 이용하여 써넣는다. 그렇게 넣어진 데이터를 외부 스 레드 즉 CreateRemoteThread를 이용하여 실행시키는 것이다. 그림을 보면 알 수 있듯이 가장 아래에 VirtualAlloc을 사용하여 INJDATA를 써 넣는 것을 볼 수 있다. INJDATA의 내용은 DLL의 코드이며 이전 방법과는 다른 목표 Process에서 Injection할 DLL의 코드를 직접 실행하는 것이다. 위 구조체에 사용할 DLL의 코드와 정보를 넣는다. 이 정보들은 Remoted 프로 세스의 address 영역에 넣어서 사용하며, 여기에 저장된 내용은 실행할 때나,
사용할 프로시저나 함수의 포인터, 내부 변수등을 저장하게 된다. 인젝션 하는 방법은 위의 방법과 마찬가지로 모듈을 얻어오는 것부터 시작하게 된다. 하지만 우리가 필요한 함수는 LoadLibraryA 함수가 아닌 SetWindowLongA, CallWndProcA 함수 이기 때문에 다른 모듈을 얻어와야 한 다. // Get handle of "USER32.DLL" hUser32 = GetModuleHandle("user32"); 얻어오는 모듈의 핸들은 바로 user32 이다. 이곳에서 원하는 함수를 얻게 된 다. // Open remote process hProcess = OpenProcess(PROCESS_ALL_ACCESS, FALSE, PID); 원하는 프로세스를 열고, // Allocate memory in the remote process and write a copy of initialized INJDATA into it size = sizeof(INJDATA); pDataRemote = (PBYTE) VirtualAllocEx(hProcess, 0, size, MEM_COMMIT, PAGE_EXECUTE_READWRITE); 실행할 코드가 들어있는 INJDATA만큼의 공간을 할당 한다 WriteProcessMemory(hProcess, pDataRemote, &DataLocal, size, &dwNumBytesCopied) 할당된 공간에 INJDATA DataLocal을 써 넣는다. 다음은 RemoteThread를 위한 공간을 할당하고 데이터를 써 넣을 차례이다. pGetSASWndRemote = (PBYTE) VirtualAllocEx(hProcess, 0, size, MEM_COMMIT, PAGE_EXECUTE_READWRITE); WriteProcessMemory(hProcess, pGetSASWndRemote, &GetSASWnd, size, &dwNumBytesCopied)
Page 1 and 2: RootKit Univ.Chosun HackerLogin : J
Page 3 and 4: 1. 루트킷이란? 루트킷에
Page 5 and 6: 만 사용할 수 있는 명령이
Page 7 and 8: 첫 번째 인자는 후킹을 수
Page 9 and 10: ii. VirtualAllocEx & CreateRemoteTh
Page 11: eturn 0; strcpy(strrchr(szLibPath,
Page 15 and 16: B. FilterDriver i. 필터드라이
Page 17 and 18: 특정한 요청이 왔을 때 윈
Page 19 and 20: 위 코드가 그러한 동작을
Page 21 and 22: } if( !strcmp( tempProcessName, pro
Page 23: 6. 참고 자료 DevPia(Driver 마

RootKit

Create successful ePaper yourself

Delete template?

Save as template?